Tool zur Überwachung aller Registry-Änderungen
Regmon zum Aufspüren ungewollter Registry-Änderungen
Das Tool Regmon zeichnet alle Zugriffe auf die Registry auf. Es zeigt in Echtzeit an, welche Registry-Schlüssel gerade von Windows benutzt werden, welche Programme die Registry gerade anzapfen und welche Daten in die Registry geschrieben sowie ausgelesen werden.
Bei jedem Zugriff von Windows oder Programmen auf die Registry fügt Regmon dem Fenster eine Zeile hinzu. Die ersten beiden Spalten enthalten die Zeilennummer und die Uhrzeit. Die nächste Spalte zeigt den Namen des Prozesses an, der auf die Registry zugreift. Windiff vergleicht auf Wunsch auch den Inhalt zweier Regdateien und zeigt die Unterschiede an. Reg Clean bietet zwar wenig Einstellmöglichkeiten, räumt die Registry aber gut auf.
Eine Spalte weiter finden Sie die Zugriffsart, gefolgt von dem Pfad und dem Ergebnis. In der letzten Spalte stehen zusätzliche Informationen, zum Beispiel der Inhalt eines Wertes. Die wichtigste Funktion in Regmon ist jedoch der Filter, um die Übersicht zu behalten, sprich die angzeigten Einträge auf ein Programm einzuschränken. Sie erreichen ihn über den Menübefehl Options/Filter/Highlight oder das Trichter-Icon. Im Textfeld Include geben Sie an, welche Zugriffe überwacht werden sollen. Beim ersten Programmstart steht hier ein Sternchen (*), was bedeutet, dass alle Zugriffsversuche protokolliert werden. Wenn Sie beispielsweise den Filterausdruck ACCDENIED eingeben, erhalten Sie nur Zugriffsversuche, die vom System wegen mangelnder Berechtigungen abgelehnt wurden. Geben Sie firefox.exe ein, dann sehen Sie nur die Zugriffe des alternativen Browsers. Über das Textfeld Exclude können Sie umgekehrt bestimmte Registrierungspfade, Prozesse oder Resultate aus der Protokollierung ausschließen, die ständig Registry-Zugriffe verursachen. Dazu zählt zum Beispiel svchost.exe, ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Systemdateien ausgeführt werden. Da unter Windows die verschiedensten Dienste parallel laufen, können auch mehrere Instanzen der svchost. exe gleichzeitig in der Prozessliste auftauchen.
Mit den Kontrollkästchen Log Opens, Log Reads, Log Successes und Log Errors geben Sie an, welche Zugriffsarten berücksichtigt werden. Wichtige Ereignisse wie Set-Value, das Ändern eines Registry-Wertes, lassen sich mit Regmon im Textfeld Highlight farbig hervorheben. Wer einen Eintrag genauer kontrollieren möchte, markiert ihn im Protokoll und drückt anschließend die Tastenkombination [Strg]+ [J]. Danach öffnet sich der Registry-Editor genau an dieser Stelle in der Registry. Im Gegensatz zum Ereignisprotokoll von Windows XP, das nur die wichtigsten Systemereignisse und Fehler aufzeichnet, zeigt Regmon alle Veränderungen der Registry.